政府門戶網站安(ān)全防護措施探讨
政府門戶網站是各級政府在互聯網上的重要窗口,代表了政府的形象,同時也是老百姓了解有(yǒu)關政策、動态信息、實現與政府互動的快捷通道。
政府網站的信息安(ān)全防護能(néng)力仍處 于“初級階段”,尚未形成科(kē)學(xué)、完整、高效、統一的電(diàn)子政務(wù)安(ān)全保障體(tǐ)系。國(guó)家計算機網絡應急技(jì )術處理(lǐ)協調中(zhōng)心統計顯示,我國(guó)各級政府網站僅在2005年就被篡改網頁(yè)2027次,比2004年多(duō)一倍。我們身邊所聽到的或親身經曆到的網頁(yè)被篡改事件,大部門還未統計在内,因此實際發生的此類事件遠(yuǎn)遠(yuǎn)大于這一統計數據。
門戶網站直接或間接地與互聯網相聯,門戶網站所面臨的主要安(ān)全威脅是黑客入侵、篡改網頁(yè)、植入木(mù)馬、抗拒絕服務(wù)攻擊、數據庫注入攻擊等。如果政府門戶網站受到黑客攻擊,輕則頁(yè)面被篡改、信息被竊取、公(gōng)衆無法正常訪問政府門戶網站,造成政府形象受損;重則被别有(yǒu)用(yòng)心的黑客加以利用(yòng),在網站上發布虛假疫情、地震信息公(gōng)告,則會造成嚴重的政治、社會事件。
因此建立門戶網站安(ān)全防護體(tǐ)系,是當前網站建設的重要目标之一。
二、傳統安(ān)全防護的誤區(qū)
目前大部分(fēn)政府門戶網站在建設的時候都部署了防火牆設備,但是依然有(yǒu)很(hěn)多(duō)網站被黑客入侵,這是因為(wèi)防火牆雖然有(yǒu)包過濾機制,但因為(wèi)防火牆主要是工(gōng)作(zuò)在網絡層,對應用(yòng)層數據包無法進行深度檢查,所以還是無法應對許多(duō)惡意行為(wèi),例如Unicode攻擊、SQL注入攻擊等。而且,服務(wù)器的操作(zuò)系統、服務(wù)器軟件都可(kě)能(néng)存在未被發現的漏洞,對此,一般防火牆有(yǒu)其缺陷。
另外黑客技(jì )術發展很(hěn)快,各種方式的威脅技(jì )術層出不窮,不能(néng)單單依靠防火牆來防護,迫切需要專業設備做專業事,并建立一定的聯動機制,構成一個立體(tǐ)的安(ān)全防護體(tǐ)系。這就象鄉村診所,一個醫(yī)生能(néng)看百病,而到了醫(yī)療技(jì )術高超的醫(yī)院,不同的病症要由專業科(kē)室來治療,對于疑難雜症還要請各科(kē)專家會診。
門戶網站安(ān)全防護技(jì )術手段,主要從網絡安(ān)全、系統安(ān)全、内容安(ān)全三方面來考慮。在網絡安(ān)全方面,除了防火牆,還應部署網閘、入侵檢測、抗拒絕服務(wù)攻擊措施;在系統安(ān)全方面,除了防病毒系統,還應經常進行漏洞掃描、查找系統弱點漏洞、進行内核加固和安(ān)裝(zhuāng)補丁程序;在數據安(ān)全方面要在服務(wù)器上部署網頁(yè)防篡改系統用(yòng)于監視網頁(yè)運行和被篡改情況的發生。
1、防火牆技(jì )術
3、防病毒技(jì )術
病毒傳播的主要途徑是網絡,網絡防病毒系統的部署應該由點及面,全方位進行部署,徹底截斷病毒入侵的途徑。需要部署的防病毒系統可(kě)采用(yòng)網關防病毒、郵件防病毒、服務(wù)器防病毒、桌面防病毒等方式進行部署。
4、入侵檢測(防護)技(jì )術
入侵檢測系統是從計算機網絡系統中(zhōng)的若幹關鍵點收集信息,并分(fēn)析這些信息,如果發現有(yǒu)黑客入侵或者入侵前的準備行為(wèi)(例如對服務(wù)器的端口進行掃描),就及時向管理(lǐ)員進行報警,并由管理(lǐ)員做出相應的應對措施。入侵檢測系統一般旁路在所要檢測網段的交換機上,如果在其上加上入侵防護功能(néng),就成為(wèi)入侵防護系統,入侵防護設備一般部署在互聯網出口位置。
5、抗拒絕服務(wù)攻擊技(jì )術
拒絕服務(wù)攻擊(DoS)就是利用(yòng)正常的服務(wù)請求來占用(yòng)過多(duō)的服務(wù)資源,從而使合法用(yòng)戶無法得到服務(wù)響應。DDoS就是利用(yòng)更多(duō)的傀儡機來發起進攻,比單個的DoS攻擊的規模更大。
目前能(néng)有(yǒu)效對付DDoS攻擊的手段主要是一些專業的硬件來代替服務(wù)器完成TCP三次握手,從而保障隻有(yǒu)正常的請求才能(néng)進入服務(wù)器,而這樣的解決辦(bàn)法對設備的硬件性能(néng)及軟件算法速度都有(yǒu)很(hěn)高的要求。
6、漏洞掃描技(jì )術
通過對網絡設備及服務(wù)器系統的掃描,可(kě)以了解安(ān)全配置和運行的應用(yòng)服務(wù),及時發現安(ān)全漏洞,客觀評估網絡風險等級。網絡管理(lǐ)員根據掃描結果更正系統中(zhōng)的錯誤配置、進行系統加固、安(ān)裝(zhuāng)補丁程序,或采用(yòng)其它相關防範措施。
7、服務(wù)器内核加固技(jì )術
内核加固系統是在服務(wù)器上安(ān)裝(zhuāng)一套軟件系統,該系統通過攔截I/O管理(lǐ)器創造代表I/O操作(zuò)的IRP請求包,過濾所有(yǒu)文(wén)件操作(zuò)來實現對操作(zuò)系統的保護。它把對操作(zuò)系統的保護做在了底層,對被保護的文(wén)件,具(jù)有(yǒu)讀不了、改不了、宕不了的堅固防護。同時,它又(yòu)對原有(yǒu)系統超級用(yòng)戶權限進行合理(lǐ)分(fēn)散與适度制約。
8、網頁(yè)防篡改技(jì )術
網頁(yè)防篡改技(jì )術是通過對網站的全面監控,實時捕獲篡改事件,并在第一時間對發生篡改的網頁(yè)進行自動恢複和報警,并通過日志(zhì)實現對網站文(wén)件更新(xīn)過程的全程記錄。網頁(yè)防篡改系統部署在服務(wù)器上,對服務(wù)器的資源占用(yòng)較小(xiǎo),不影響服務(wù)器的正常使用(yòng)。
9、對服務(wù)器進行安(ān)全配置
服務(wù)器的安(ān)全配置是至關重要。首先是調整服務(wù)器的屬性,做到必要時關閉TCP 445端口的訪問,關閉TCP 139端口的訪問;其次是停止不必要的服務(wù),這不僅是安(ān)全加固的需要,同時也是服務(wù)器性能(néng)優化的一部分(fēn);最後是增強日志(zhì)審計能(néng)力,當網站被入侵後,隻有(yǒu)日志(zhì)能(néng)夠幫助定位入侵事件。
10、其它安(ān)全防護技(jì )巧
除了上面介紹的主要防護措施之外,還應該關注以下防護技(jì )巧。
l SQL注入攻擊的防範
目前黑客攻入網站最常見的伎倆是SQL注入攻擊。由于SQL注入是從正常的WWW端口訪問,跟一般的Web頁(yè)面訪問沒什麽區(qū)别,所以防火牆都不會對SQL注入發出警報。為(wèi)了防範黑客通過SQL注入攻進網站,可(kě)以使用(yòng)防注入攻擊的專用(yòng)軟件對數據庫進行加固處理(lǐ)。
l 堵住數據庫下載漏洞
目前仍有(yǒu)許多(duō)動态網站采用(yòng)Access數據庫,但Access數據庫是以文(wén)件方式存放,後綴為(wèi)*.mdb。如果不采取相應的措施,就有(yǒu)可(kě)能(néng)被一些惡意用(yòng)戶下載,從而造成重要信息的洩露。對于此威脅,應采取措施堵住漏洞防止下載。
l 盡量不使用(yòng)上傳程序
網站中(zhōng)最好不使用(yòng)任何上傳程序,建議采用(yòng)FTP上傳、維護網頁(yè),不要安(ān)裝(zhuāng)ASP的上傳程序。如果ASP上傳文(wén)件功能(néng)必須保留,也應該進行嚴格的身份認證。
l 注意後台管理(lǐ)程序
不要在網頁(yè)上顯示後台管理(lǐ)程序的入口鏈接,以免黑客攻入網站後台管理(lǐ)程序。管理(lǐ)員的用(yòng)戶名(míng)和密碼也不能(néng)過于簡單,注意定期更改。建議維護時通過ftp上傳後台管理(lǐ)程序,使用(yòng)後即時删除。
l 檢查是否有(yǒu)木(mù)馬,并做好數據庫備份工(gōng)作(zuò)
對WEB虛拟路徑下的所有(yǒu)文(wén)件定期做批量的MD5效驗,審核每個文(wén)件,對有(yǒu)來曆不明的文(wén)件要立即删除。除了日常維護外,還要時常備份數據庫等重要文(wén)件。
根據筆(bǐ)者經驗,部署上述技(jì )術措施後的網站,基本未出現安(ān)全事件。但在具(jù)體(tǐ)技(jì )術措施的選取上,也可(kě)根據實際情況,如網站規模、宣傳範圍、知名(míng)度、數據内容重要程度、實時性要求強度、可(kě)容忍的網站停運時間、資金狀況等因素來進行裁減,選擇具(jù)體(tǐ)的技(jì )術措施。
另外,解決門戶網站安(ān)全問題,除了要有(yǒu)好的安(ān)全防護技(jì )術措施外,還要有(yǒu)一支具(jù)有(yǒu)豐富安(ān)全服務(wù)經驗的專業技(jì )術隊伍,在運維支撐方面才能(néng)得到可(kě)靠的保障。
上一篇:返回列表
下一篇:網閘應用(yòng)測試